我是一名 AD 新手,负责处理这种情况:Win 2008 r2 环境,在 AD 中创建安全组,其中根文件夹对所有人只有读取权限;子文件夹 1 对 1 个组具有公共读取权限,对另一个组具有完全读取权限;子文件夹 2 没有公共访问权限,但对另一个组具有完全访问权限 - 任何组都无法更改根文件夹名称。
我遇到了时间问题。请帮忙!
答案1
打破顶层文件夹的 NTFS 继承。我将root
在此答案中调用它。然后在高级视图中授予Authenticated Users - Read
。This Folder Only
您可能还想添加,Administrators - Full Control
以便This Folder, subfolders, and files
服务器管理员仍然可以遍历整个目录树。
然后,创建两个子文件夹:在此示例中folder1
为 和folder2
。这些文件夹应继承Administrators - Full Control
ACE,但不是 ACE Authenticated Users - Read
。现在,您只需添加组并根据需要在子文件夹中授予权限即可。
你最终会得到如下结果:
-root (Authenticated Users - Read, Administrators - Full)
----folder1 (Authenticated Users - Read, Group1 - Modify)
----folder2 (Group2 - Modify)
顺便提一下,您几乎从不想授予用户完全控制权,而想授予他们修改权。这将允许他们删除、创建、重命名等,但授予他们完全控制权反而允许他们更改权限。